Bonjour et Merci pour ce site très réussi.
Cependant, j'ai remarqué qu'il est possible de passer en commentaire n'importe quel type de code HTML ou JavaScript, ce qui pose un problème en matière de sécurité étant donné qu'une personne mal intentionnée pourrait voler les cookies des utilisateurs qui passeraient sur cette page. Ceci n'est qu'un exemple d'exploitation d'une telle faille XSS.
Il suffirait donc de filtrer tous les paramètres saisis par l'user : pseudo et commentaires ==> utiliser htmlentities()
En espérant vous avoir aidé.
Au revoir
Sécurité
-
sly
- Messages : 5041
- Enregistré le : 29 févr. 2004, 17:59
- Localisation : Chambéry - Savoie
Merci d'avoir pointé cette faille du doigt
L'idée de départ était de permettre aux utilisateurs de rajouter du code html afin de placer des liens et éventuellement du style de texte différent de celui par défaut.
Je pense développer sous peu un système permettant de gérer et la sécurité et les possiblités dont nous avons besoin
( genre compatible bbcode )
Bref, merci !
L'idée de départ était de permettre aux utilisateurs de rajouter du code html afin de placer des liens et éventuellement du style de texte différent de celui par défaut.
Je pense développer sous peu un système permettant de gérer et la sécurité et les possiblités dont nous avons besoin
( genre compatible bbcode )
Bref, merci !